DHCPD-Protokolle zeigen an, dass der PC beim Abschalten IP-Adressen vom Router anfordert. Sind unsere Logdateien falsch?

754
bloopiebloopie

Wir haben ein kleines Büro und bei der Überprüfung der Router-Protokolle fiel mir auf, dass einige Computer außerhalb der Geschäftszeiten eine IP-Adresse vom Büro-Router angefordert haben.

Dies ist die Protokolldatei-Ausgabe:

188 2016-11-18 06:50:58 DHCPD Notice Send ACK to 192.168.1.101 189 2016-11-18 06:50:58 DHCPD Notice Recv REQUEST from F8:0F:41:D0:4C:FB 190 2016-11-18 06:50:58 DHCPD Notice Send OFFER with ip 192.168.1.101 191 2016-11-18 06:50:58 DHCPD Notice Recv DISCOVER from F8:0F:41:D0:4C:FB 192 2016-11-18 06:41:40 DHCPD Notice Send ACK to 192.168.1.131 193 2016-11-18 06:41:40 DHCPD Notice Recv REQUEST from 64:EB:8C:53:D8:6E 194 2016-11-18 04:45:00 DHCPD Notice Send ACK to 192.168.1.143 195 2016-11-18 04:45:00 DHCPD Notice Recv REQUEST from 98:EE:CB:03:B8:69 196 2016-11-18 03:58:28 DHCPD Notice Send ACK to 192.168.1.143 197 2016-11-18 03:58:28 DHCPD Notice Recv REQUEST from 98:EE:CB:03:B8:69 198 2016-11-18 03:40:30 DHCPD Notice Send ACK to 192.168.1.111 199 2016-11-18 03:40:29 DHCPD Notice Recv REQUEST from F8:0F:41:D0:4D:6E 200 2016-11-18 02:33:52 DHCPD Notice Send ACK to 192.168.1.127 201 2016-11-18 02:33:52 DHCPD Notice Recv REQUEST from FC:3F:DB:21:34:E2

Die Mitarbeiter schalten ihre Computer nach Beendigung der Arbeit aus. Ich habe bestätigt, dass alle außer zwei der protokollierten MAC-Adressen zu Computern in unserem Büro gehören.

Wir hatten kürzlich eine Sicherheitsverletzung. Wir setzen den Router, alle Admin-Passwörter und die WiFi-Passwörter zurück.

Ist es möglich, dass sich diese Computer außerhalb der Geschäftszeiten einschalten und für Personen außerhalb unseres Netzwerks zugänglich sind?

8

1 Antwort auf die Frage

7
Hennes

Fragen Sie nach der ersten Frage:

Ist es möglich, dass sich diese Computer selbst drehen?

Ja, Computer können sich selbst einschalten und haben diese Funktion seit Ewigkeiten. Für IBM-kompatible PCs ist dies normal, da sie ATX-PSUs erhalten. (Ungefähr seit 1995). Wenn Sie die Firmware des Motherboards aufrufen (auch bekannt als BIOS oder UEFI), haben Sie oft eine Option, um dies zu konfigurieren. Ziemlich nützlich, wenn Sie einen alten PC haben und möchten, dass er hochfährt und startet, bevor Sie ins Büro kommen.

Der zweite Teil Ihrer Frage

… Und sich Menschen außerhalb unseres Netzwerks zugänglich zu machen?

ist unabhängig vom ersten Teil. Wenn dies beim Einschalten der Computer geschieht (unabhängig davon, ob sie sich selbst einschalten oder Sie den Netzschalter drücken), liegt ein Problem vor. Wenn dies der Fall ist, wurde die Sicherheitsverletzung noch nicht behoben.

Wenn Sie schließlich die MAC-Adresse erhalten haben, können Sie die ersten drei Bytes anzeigen. Sie erfahren, welche Hersteller die Netzwerkkarte hergestellt haben, die die IP-Adresse anfordert. Dies kann helfen, die Quelle zu ermitteln (z. B. nur DHCP-Anforderungen von Druckern oder von mobilen (persönlichen?) Telefonen).

Ich habe die Adressen in Ihrem Beitrag nachgeschlagen:

MAC-Adressen, die mit F8:0F:41oder mit beginnen, 98:EE:CBgehören zu Wistron InfoComm . Laut Wikipedia stellt diese Firma Tablets, Mobiltelefone und andere Geräte her, auf denen Chrome OS ausgeführt wird .

MAC-Adressen, die mit beginnen, 64:EB:8Cgehören zur Seiko Epson Corporation. Dies können Drucker sein (wiederum haben Drucker wahrscheinlich einen eigenen IP-Bereich in einem Büro, möglicherweise jedoch mit einem reservierten MAC → IP auf dem DHCP-Server).

MAC-Adressen, die mit beginnen, 4C:A1:61gehören zur Rain Bird Corporation. Jede Suche, die ich nach diesem Namen suchte, führte zu einer Sprinklerfirma.

Endlich:

Sind unsere Logfiles falsch?

Ich bezweifle das. Etwas scheint IP-Informationen anzufordern. Dies wird protokolliert. Kein Fehler in der Protokollierung Das größere Problem ist, warum tun sie das außerhalb der Bürozeiten? Gibt es eine Rasensprinkleranlage, die den ganzen Tag eingeschaltet ist (und die vermutlich rund um die Uhr anwesend sein sollte)? Gibt es Drucker, die nicht ausgeschaltet sind, sondern in den Ruhezustand wechseln? Gibt es Laptops oder PCs, die nicht ordnungsgemäß ausgeschaltet werden, stattdessen in einen Energiesparmodus wechseln, einen niedrigen Akku erkennen und einschalten, um in den Tiefschlafmodus zu wechseln?

Grundsätzlich sollten Sie herausfinden, welches Gerät (es sollte einfach sein, Sie haben MACs und IPs, so dass Sie entweder anhand der Dokumentation nach den PCs suchen können oder über den Router herausfinden, um welches Gerät es sich handelt). Dann erforschen Sie weiter von den letzten Geräten. (Im Fall eines Windows-Computers versuchen Sie es powercfg lastwake).

Nur habe ich kürzlich erfahren, dass MAC-Adressen geändert werden können. Comcast macht dies häufig auf ihren Routern / Modems. DocSalvager vor 7 Jahren 0
MAC-Adressen sind normalerweise in das NIC-ROM integriert. Viele NICs kopieren von dort in ihren Arbeitsbereich, sodass Sie dies ändern können. Wenn es jedoch geändert wird, ist es die Aufgabe der Person, die es ändert, um 100% sicher zu sein, dass es im LAN eindeutig ist. Was Sie nur tun können, wenn Sie alle [potenziellen] Geräte in diesem LAN steuern. Da dies keinen Vorteil bietet und nur potenzielle Probleme verursacht, besteht kein Grund, jemals einen MAC zu ändern. Hennes vor 7 Jahren 0
Vielleicht sollte ich keinen "guten Grund" ausbauen. Es gibt zwei Ausnahmen: ARP-Vergiftungsangriffe (als Angreifer) und Kabelmodems (ISPs) unterstützen vor einigen Jahrzehnten nur einen einzigen PC pro Kabelmodem. Dies wurde getan, indem nur der Zugriff von einem einzelnen MAC zugelassen wurde. Soweit ich weiß, wurde dies in den letzten Jahrzehnten nicht verwendet, daher sind alle Problemumgehungen wahrscheinlich von veralteten Leitfäden. Wie beim Comcast ändern sie ihre MAC oder ihr Gerät (einschließlich der MAC). Letzteres scheint wahrscheinlicher zu sein und kann auf ein gewisses Lastausgleich zurückzuführen sein. Hennes vor 7 Jahren 0

Verwandte Probleme